セキュリティ上の脆弱性が発見されたという事でMovabletypeがアップデートしました。
Movable Typeのプログラムにおいてクロスサイトスクリプティングによる脆弱性が確認されました。対策を施した新バージョンをリリースいたします。
つい2、3日前におそるおそる3.32へのテストアップグレードを行ったのですが、もう次が出てしまいました。それから、この脆弱性は3.32以降に当てはまるという事で、使ってる3.2にもパッチを適用しないといけません。3.2用のパッチファイルも配布されてます。
大雑把に調べてみました。
lib\MT\App\CMS.pm・・・いろいろたくさん
lib\MT\Sanitize.pm・・・108、115行目に変更
lib\MT\App.pm・・・649行目に変更
lib\MT.pm・・・11、12行目
php\mt.php・・・8行目に変更
php\lib\sanitize_lib.php・・・57行目に変更
CMS.pm ファイルは、
■画像の border を 0 にする(縁を失くす)
■管理画面のエントリーリストに個別アーカイブへのリンクをつける
■再構築の数を調整する
に使われてるので少し躊躇です。
・・・躊躇していたけどMT3.2→MT3.21にアップしました。